Mit Linux wird nicht automatisch alles besser, wenn die größte Bedrohung für die IT vor dem Computer sitzt. Praxisgerechte Ratschläge für Admins gibt das folgende "Sicherheitshandbuch Mensch".

Gute Stimmung

Problematisch ist, dass schon die Erhebung von Defiziten in Wissen und Verhalten des Personals an Leistungsmessung grenzt und daher in enger Kooperation mit Betriebsräten und Datenschützern erfolgen muss. Auffällig war der von fast allen Referenten geäußerte Appell, auf eine vertrauensvolle Zusammenarbeit mit den Anwendern zu setzen. Im Zusammenhang mit Awareness-Maßnahmen (Bewusstsein) sollte ein eventuell aufgedecktes kritisches Verhalten der Mitarbeiter nicht bestraft werden.

Schwierig ist, wie die Secaware und der Awareness-Track der vorangegangenen Security-Konferenz ISSE [9] in Den Haag zeigten, vor allem die aus Compliance-Gründen und zur internen Rechtfertigung für viele Unternehmen unumgängliche Messung der Wirkung von Awareness-Maßnahmen. Hier sichern sich Unternehmen die Hilfe speziell ausgebildeter Sozialpsychologen, die für Risikoanalysen im menschlichen Bereich (Human Factor Risk Assessment) ein ganzes Arsenal von Befragungsmethoden einsetzen.

Führungskräfte mitnehmen

Für CIOs und Administratoren kleiner und mittlerer Unternehmen sind Kampagnen der oben geschilderten Art zwar zu groß und zu kostspielig. Das Prinzip, Führungskräfte ins Boot zu holen, weil sich Mitarbeiter eher an ihren Fachvorgesetzten oder dem oberen Management orientieren als am IT-Personal, gilt aber in Organisationen jeder Größe. Die Manager haben eine für jede Awareness-Maßnahme zentrale Aufgabe: Sie müssen den Anwendern deren Verantwortung für die Sicherheit von Informationen verdeutlichen, die sie allen technischen Schutzmaßnahmen zum Trotz haben.

Das Wort einer echten Vorbildfigur, mit E-Mails, Web oder Datenträgern vorsichtig umzugehen, kann oft mehr bewirken als noch so viele Appelle aus der IT-Abteilung. Administratoren sollten sich deshalb nach Managern umsehen, mit denen sie sich verstehen, und diese in die Arbeit einbeziehen. Manchmal finden sich in einem Unternehmen aber auch andere Respektspersonen, Sympathieträger oder Meinungsführer, die helfen können. Wer Medien einsetzen will, kann vielleicht die sonst so gescholtenen Blogger, Web-2.0- und Twitter-Fans im Betrieb dafür begeistern [4]. Ideal, aber zeitaufwändig ist es, wenn sich ein IT-Verantwortlicher eine Position erarbeitet, in der er als souveräner, aber fairer Ansprechpartner für Sorgen und Probleme in IT-Fragen gilt. Unter diesen Umständen kann er leichter Forderungen durchsetzen und lästige Regeln rechtfertigen ([10], [11])

Auf manche Anwender üben Online-Gefahren und ihre Abwehr regelrechte Faszination aus, die sich auch für Awareness-Maßnahmen nutzen lässt, so wie Live-Hacking auf Messen viele Zuschauer anzieht. Manche Personen stoßen auch im privaten Umfeld auf IT-Risiken, etwa im Zusammenhang mit Onlinebanking. Viele User möchten also durchaus verstehen, wie Hacker oder Industriespione arbeiten, und diesen Angreifern gern selbst ein Schnippchen schlagen.

Sie können diesen Artikel als PDF für 99 Cent kaufen. Klicken Sie dazu einfach auf eine der beiden Bezahloptionen Paypal oder ClickandBuy.

Mit Linux wird nicht automatisch alles besser, wenn die größte Bedrohung für die IT vor dem Computer sitzt. Praxisgerechte Ratschläge für Admins gibt das folgende "Sicherheitshandbuch Mensch".